大学公寓网络设计(毕业设计)(DOC毕业设计论文).doc

一、 前言 在当今信息产业蓬勃发展的今天，信息已经成为一种关键性的战略资源，计算机技术在人们的生活中已经起到了越来越重要的作用。校园作为知识基地和人才基地，它理应成为代表信息产业应用最成功的典范。一所成功的学校不仅在学术上、教育上要力争上游，更应在管理上上一个台阶。利用各种成熟的技术带动学校各单位、各部门的电脑化管理，通过校园信息网，将各处的电脑联成一个数据网，实现各类数据的统一性和规范性；教职员工和学生可共享各种信息，极易进行各种信息的教流、经验的分享、讨论、消息的发布、工作流的自动实现和协同工作等，从而有效地提高学校的现代化管理水平和教学质量，增强学生学习的积极性、主动性，为信息时代培育出高素质的人才。在学校中建立计算机网络已经是十分迫切的需要： 计算机和网络已经成为各行各业在工作中的工具，是否掌握计算机的技术和应用，已经成为衡量一个从业者是否合格的重要标识。作为培养人才的基地，在校园中就让学生接触计算机、计算机网络，对于培养合格的人才无疑是十分重要的； 在现在这个知识爆炸的社会中，对于合格人才的要求越来越多，需要他们掌握大量的各类知识，在教育中需要提高教学效率。现在出现了许多新的教学方法，以各种方式提高学生对知识的掌握速度，在与前人同样的时间内，掌握比前人更多的知识，而这些教学方法，需要利用计算机网络才能实现； 高等院校除了作为人才培养基地外，也是重要的科研基地，每年有大量的课题在高校中进行，研究人员需要收集资料、与同行交流研究心得等，促使研究的进展，作为全球最大的信息源和交流方式，计算机网络正是最合适的选择； 学校、尤其是高等学校，作为一个实体都有比较大的规模，人员繁多，各类事务也非常多，但经费一般比较紧张，比其他行业更需要提高管理效率，在日常管理中节约经费。在校园内组建计算机网络，在服务教学、科研的同时，也可以大大提高管理水平和效率。虽然在组建时需要花费一些费用，但与节省的费用相比，依然可以接受。 随着计算机技术、网络技术的发展，网络设备的价格不断下降；同时国家各级政府对于教育的投入不断增加，大量计算机进入了校园，组建校园网不仅是十分迫切的工作，可行性也非常高。 据2005年7月CNNIC的最新调查结果显示，我国上网用户总数突破1亿，其中学生用户占了32.2%，是最大的用户群。 另据相关资料显示，网络在中国的普及率为7.9%，但在大学生群体中的普及率是93%。目前87%学生通过网吧上网，庞大的学生用户群和他们的上网需求是校园网建设和发展的前提条件。此外，随着宽带城域网的建设，校园网的业务也进一步向公众网扩展，其中远程教育就成为一项极富发展潜力的城域网宽带业务。 二、 需求分析 1. 背景介绍 中国教育和科研计算机网CERNET是由国家投资建设，教育部负责管理，清华大学等高校承担规划、建设和运行管理的全国最大的公益性计算机互联网络。CERNET始建于1994年。 十年来，在国家的大力支持下，教育部各届领导直接领导和关怀下，和一批专家和技术人员的共同努力下，CERNET从无到有，由小变大，从弱到强，取得了令人瞩目的成绩，成为我国重要的信息化基础设施，在我国教育和科研事业发展，以及教育信息化建设中发挥了重要作用。目前,CERNET主干网传输速率达到2.55Gbps,地区网传输速率达到155M2.5Gbps，覆盖全国31个省、市200多座城市，联网的大学、教育机构和科研单位超过1300个，用户超过1800万人，成为世界上最大国家级公益性计算机互联网。 CERNET也是我国下一代互联网研究与建设的先行者，近几年来承担了中国高速互联研究试验网NSFCNET，863IPv6综合实验环境，CERNETIPv6试验网，中日IPv6合作研究等一批我国下一代互联网的试验和研究项目，推动了我国下一代互联网的研究和技术进步。2004年1月，CERNET与美国Internet2、欧盟GEANT等全球最大学术网共同宣布，开通全球IPv6下一代互联网服务。2004年3月19日，连接北京、上海和广州的CNGI核心网CERNET2试验网开通并开始提供服务。 2. 需求分析 2.1 校园网建网需求 高校校园宽带网用户集中且网络流量大，关注网络的可运营和可管理特性，校园网建网需求如下： 1、 教学区、宿舍区用户对校园网、教育网、INTERNET的访问有相应的路由策略和相应的计费策略。 2、 校园网存在多个出口需求，校园网至少要提供中国教育科研网（CERNET）和INTERNET两个出口。 3、 校园网安全性要求较高，要求设备能够实现用户识别和动态绑定功能如通过“IP+MAC+端口”三元组的动态绑定来识别用户。 4、 校园网WEB页面可实现以下功能：用户Web自助服务功能，用户可通过Web自助服务页面，进行个人资料的查询、密码修改、上网明细查询、缴费记录查询以及在线预注册和在线帐号充值。 5、 校园网用户能实现多ISP权限选择。用户可通过不同的帐号或采用相同帐号的不同域名进行认证，以获得不同的权限，不同的权限对应不同的计费策略。 6、 校园网要求实现多种支持普通包月、包月限时长、包月限流量、计天、计时长和计量等多种计费策略。支持用户卡和充值卡，冲值卡配合用户卡以及提供的公用服务功能可以实现用户的完全自助管理。 7、 校园网要求能对每个用户的使用情况能进行事后审计，能够定位到IP地址以及用户所连接的端口和登录的用户名，限定帐号的使用端口。 8、 校园网要求能实现对用户带宽的动态控制。 9、 校园网要求实现组播业务。 10、 校园网要求在学校规模不断扩大中，用户数在持续增加，要求网络具有很好的扩展性，能够根据需要逐步平滑升级到万兆的骨干连接。 11、 网管平台实现网络资源的管理、网络安全访问的控制。并且在平台上能方便地开发所需网络应用。 12、 采用流行的、支持设备面广、有良好图形界面的网管平台。网管系统能够管理到网络中的每一个智能设备及有关设备的每一个端口，即能够远程对设备进行设置、调试、网络流量监测和必要的重置。 能对网络故障能及时发现并报警。 2.2 校园网基本应用 作为校园网，需要连接多少个节点，怎样使用各种网络设备使分布在不同地理位置的节点连接到一个统一的网络中，怎样使整个网络上的节点相互连通，这些问题仅仅是校园网需要解决问题中的一部分，更重要的问题如何将这些资源有序地组织起来，需要实现什么功能，以满足现在和未来在教学、科研、管理、交流等方面的需求。形成在校园内部、校园与外部进行信息沟通的体系，建立满足教学、科研和管理需求的计算机环境，为学校各种人员提供充分的网络信息服务，在网络环境中进行教学、研究、收集信息等工作。 校园需要的基本功能有： 计算机教学，包括多媒体教学和远程教学； 网络下载、网络聊天等； 电子邮件系统：主要进行与同行交往、开展技术合作、学术交流等活动； 文件传输FTP：主要利用FTP服务获取重要的科技资料和技术文挡； INTERNET服务：学校可以建立自己的主页，利用外部网页进行学校宣传，提供各类咨询信息等，利用内部网页进行管理，例如发布通知、收集学生意见等。 图书馆的访问系统，用于计算机查询、计算机检索、计算机阅读等； 其他应用，如大型分布式数据库系统、超性能计算资源共享、管理系统、视频会议等。 宽带上网 在信息化的今天，人们已经把网络当成获取信息的重要的源泉，而WEB应用则起到了举足轻重的作用。绝大多数的人都是通过浏览WEB页面来获取新知。校园网应该是宽带上网的前沿阵地，学生们可以通过网络获取丰富的知识，增加与其他学校学生，甚至其他国家学生交流的机会。宽带的网络相比窄带的拨号有着非常大的优势，通过宽带上网就能够真正能实现网上冲浪。 交互式网络电视 IPTV即交互式网络电视，是一种利用宽带IP网，向用户提供影视节目在线观看的崭新业务。该业务将电视机或个人计算机为显示终端，通过机顶盒接入宽带网络，可以向用户提供数字广播电视、VOD点播、视频录像等诸多宽带业务。IPTV是互联网的一种新的业务模式，同时也是传媒在互联网时代一种更灵活的发行手段。IPTV是通过宽带IP网络来看电视，用户可以通过普通电视机机顶盒方式收看。与传统电视相比，其最大特点是交互式的全新电视观看体验。除此之外，IPTV用户还可以方便地在电视机上进行节目定购、余额查询、费用缴纳、使用详细单查看等，做到消费快捷、明白消费。 IPTV的主要特点在于其交互性和实时性。IPTV既不同于传统的有线电视，也不同于目前正在兴起的数字电视。通过IPTV业务，用户可以得到高质量(接近DVD水平的)数字媒体服务，可以自由选择宽带IP网的视频节目，实现媒体提供者和媒体消费者的实质性互动。IPTV的出现在宽带视频应用方面填补了空白，支起了宽带市场的另一片蓝天。它将电视、通信和计算机三个领域结合在一起，被业界喻为撬开宽带市场的新支点。 视频点播(VOD) 功能允许用户根据自己的安排而不是预先确定的时间欣赏视频。 VOD 类似于 PVR，只不过节目内容存储在有线电视提供商的服务器上，而不是在客户端或者说用户设备中。VOD只是IPTV中的一项功能。 视频点播 VOD（Video on Demand）是视频点播技术的简称,也称为交互式电视点播系统，意即根据用户的需要播放相应的视频节目，从根本上改变了用户过去被动式看电视的不足。当您打开电视，您可以不看广告，不为某个节目赶时间，随时直接点播希望收看的内容，就好像播放刚刚放进自己家里录像机或VCD机中的一部新片子，但是您又不需要购买录像带或者VCD盘，也不需要录像机或者VCD机。这就是信息技术带给您的梦想，它通过多媒体网络将视频节目按照个人的意愿送到千家万户。 对于校园网的用户，学校可以开展多媒体视频点播教学服务。通过把好的课件放到VOD服务器上，让学生们进行点播，可以灵活的开展教学服务，把枯燥的课堂教学转变成为丰富的媒体服务。 远程教学 21世纪的热点是远程教育，这已成为人们的共识。远程教育的发展正在引发教育的又一轮变革，民主的教育模式和信息技术手段已经被网校很好地利用，由此带来的教学内容改革和教法改革成为诸多网校吸引生源的法宝。 某高校校园网全面建成后，完全可以建立远程教育体系，实现对社会的开放，让社会了解学校，让更多希望上学的人有接受远程教育的机会。 在已经建立起的较完善的校园网，极大地方便了学校之内以及学校与外界的交流。然而，在日常的教学工作中，单纯的互联网还是没法满足教学改革的要求。比如，学校经常要请一些国内外专家教授过来讲课，但即使是大课室也只能容纳有限的几百人，无法满足所有学生的要求；同时，如果要请一些本地以外的教授过来，很不方便，不但学校要承担较高的差旅费，教授也要长途跋涉，把大量的时间浪费在路途中，从而也限制了学校与外界的交流。因此，校园网中必需一套能够随时随地与任何人面对面沟通的视频会议系统。 网络化教学 21世纪，人类将面临文明史上的又一次大的飞跃，即由工业化社会进入到信息化社会，世界各国对当前信息技术在教育中的应用都给予了前所未有的关注。随着家用电脑的普及和网络技术的迅速发展，信息技术在教育中的应用越来越广泛，从前几年的课件制作、基件制作等最基本的多媒体应用技术到今天的信息技术与课程整和的网络化教学，信息技术的作用已不再是单纯的多媒体带给人们的视听效果，而是将信息科技和普通学科的教学相结合，把信息技术有机的融合在普通学科的学习中。 在教学中，我充分利用计算机网络的优势向学生提供大量的信息资源，在使用计算机时，强调发挥计算机的特点，使计算机成为学习的工具。 无线网络 承受着校园网应用的普及和应用水平的不断提高，学校中工作和生活关系越来越密切，而学校中的网络终端资源却很有限，越来越难以满足师生的需求。无线局域网技术的日趋成熟可以为此提供更加高效灵活的解决方案，可以用较少的投资获得空前的应用灵活性。 随着国家对中国教育行业的更加重视并加大投入，中国教育网的建设得到了国家更大的支持并得到了更加广泛的应用，并已经成为一种其它方式不能代替的获得资源的重要手段，因此教师和学生对网络的依赖也越来越强，随时随地能够从网络获得相要的资源成为教育用户追求的目标。 一般来说，如教室、图书馆、会议室等地方一般是不可能布设太多信息点的，但是随着学生中笔记本电脑的普及和现代化教学的普及，上述场所往往在同一时刻有大量的电脑，而目前的有线校园网没有办法使学生们在这些区域上网。采用无线方式，在有限的信息点上连接无线接入器，就可以轻松从一个信息点扩展到成百上千个信息点的应用。 国际上，拥有无线校园网，已经成为现代化校园的一个标志。据悉，到2006年，将有600所高校建设无线校园网。中国的大学无线校园网的建设已经如火如荼地展开了。 VOIP电话业务 Internet 电话技术是目前Internet 应用领域的一个热门话题。它主要指在Internet 中实时传送声音，从广义上讲，它包括在Internet 中实时传送多媒体信息。 IP电话之所以发展迅速、备受人们关注，其主要原因是IP电话能节省大量长途电话费用，尤其是打国际长途电话。传统电话是通过电话网传送的，而IP电话是利用TCPIP技术，通过因特网传送的。IP电话和传统电话的区别主要也就在于传输技术上。 VoIP的英文全称是voice over internet protocol，即基于IP协议的语音通信，因此也被称作网络电话或者宽带电话。它实现了语音在Internet上的实时传送。其基本原理是：通过语音压缩算法对语音资料进行压缩编码处理，然后把这些语音资料按TCP/IP标准进行打包，经过IP网络把资料包送至接收地，再把这些语音资料包串起来，经过译码解压处理后，恢复成原来的语音信号，从而达到由互联网传送语音的目的。在许多场合，VoIP技术仅指通过IP网络实现类似普通老式电话的功能。但是，在传统电话网的业务不断发展的情况下，VoIP的含义和设计目标也超越了其字面意义；也就是说VoIP技术不仅指提供双方会话的传统电话技术，而且是包含话音、图像和数据、支持各种智能业务的双方及多方多媒体通信技术。 三、 设计原则 1.网络设计的基本原则 校园网建设是一项大型网络工程，各个学校需要根据自身的实际情况来制定网络设计原则。该学校网络需要完成包括图书信息、学校行政办公等综合业务信息管理系统，为广大教职工、科研人员和学生提供一个在网络环境下进行教学和科研工作的先进平台。校园网覆盖整个学校校园，网络设计一般应遵循下列5个基本原则： 可靠性和高性能 网络必须是可靠的，包括网元级的可靠性，如引擎、风扇、单板、总计等；以及网络级的可靠性，如路由、交换的汇聚，链路冗余，负载均衡等。网络必须具有足够高的性能，满足业务的需要。 实用性和经济性 由于学校资金并不是很充足，不可能一步到位。另一方面，学校的应用水平较参差不齐，某些系统即使安装了也利用不起来，因此，在校园网的建设过程中，系统建设应始终贯彻面向应用，注重实效的方针，坚持实用、经济的原则。 可扩展性和可升级性 系统要有可扩展性和可升级性，随着业务的增长和应用水平的提高，网络中的数据和信息流将按指数增长，需要网络有很好的可扩展性，并能随着技术的发展不断升级。设备应选用符合国际标准的系统和产品，以保证系统具有较长的生命力和扩展能力，满足将来系统升级的要求。 易管理、易维护 由于校园骨干网络系统规模庞大，应用丰富而复杂，需要网络系统具有良好的可管理性，网管系统具有监测、故障诊断、故障隔离、过滤设置等功能，以便于系统的管理和维护。同时应尽可能选取集成度高、模块可通用的产品，以便于管理和维护。 先进性、成熟性 当前计算机网络技术发展很快，设备更新淘汰也很快。这就要求校园网建设在系统设计时既要采用先进的概念、技术和方法，又要注意结构、设备、工具的相对成熟。只有采用当前符合国际标准的成熟先进的技术和设备，才能确保校园网络能够适应将来网络技术发展的需要，保证在未来若干年内占主导地位。 安全性、保密性 网络系统应具有良好的安全性。由于校园骨干网络为多个用户内部网提供互联并支持多种业务，要求能进行灵活有效的安全控制，同时还应支持虚拟专网，以提供多层次的安全选择。 在系统设计中，既考虑信息资源的充分共享，更要注意信息的保护和隔离，因此系统应分别针对不同的应用和不同的网络通信环境，采取不同的措施，包括系统安全机制、数据存取的权限控制等。 灵活性、综合性 通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。 成功来自自信 QoS（质量服务）保证 教育在语音和视频等多媒体应用方面一直走在社会的前列，这类应用对服务质量的要求很高。QoS（质量服务）需要在网络的端到端进行全盘计划和实施，由于各接入网络和端设备的复杂性与多样性，骨干网必须尽可能地支持各种质量服务技术，特别是最新的技术如MPLS VPN和流量工程，以提供简洁透明的质量服务机制。 2. 模块化、层次化的设计原则 锐捷网络的设计都是基于一个模块化，层次化的设计思想。这也是对大型网络进行高效管理的首选方法。 2.1模块化设计 所谓模块化就是将把整个网络按功能和安全需求分为若干个组件，这些组件之间有一定的安全边界，组件内部有完整的网络设计。模块化设计的好处在于： 1. 解决各网络之间的冲突问题； 2. 简化安装和后台设备管理； 3. 易于故障检测和分离问题； 4. 易于执行不同类型的服务和安全方针； 5. 易于扩展和/或代替原来的技术。 一个完整的模块化设计如下图所示： 图 1 模块化网络设计图示 校园网的设计可以借鉴这种思想，对各种不同种类，不同安全等级的业务进行模块划分， 相互之间的访问将受到控制。当然，在实际情况中并不一定要求严格按照上述模块划分，而是根据实际情况灵活运用，做适当的裁减与调整。 2.2层次化的设计 层次化网络设计模型 对于大型网络，可以采用业界通用“核心层-汇聚层-接入层”层次化网络设计模型。 图 2 层次化网络设计图示 核心层 核心层的主要提供不同网络模块之间优化传输服务，将分组尽可能快地从一个网络传到另一个网络，通常要保证核心层具有很高的可靠性、最佳的网络性能。汇聚层到核心层要具备冗余传输链路，任何单条链路断连不影响网络的可用性。作为所有网络流量的传输中枢，核心层除了要求高性能交换设备和高带宽传输链路外，还需考虑选用支持负载均衡或负载分担特性的设备实现负荷均衡。此外，为了避免网元故障对网络造成冲击，需要网络采用支持快速聚合的特性，一旦主用通路断开，可以很快的切换到备用通路。 图 3 核心层网络模块 汇聚层 汇聚层顾名思义就是作为访问层到骨干层的汇聚，通常为访问层与骨干层实现基于策略的网络间连接。汇聚层主要由三层交换机组成，提供对网络流量模式控制、服务访问控制、QoS、定义路由路径度量（path metric）和路由协议网络通告控制。 图 4 汇聚层网络模块 接入层 接入层作为各模块到交换骨干的连接，根据不同模块进行逻辑子网划分，并通过VLAN技术实现子网之间的隔离。访问层主要功能在于隔离模块间的广播流量，避免不同模块之间相互影响。访问层主要通过二层交换机组成。 层次化网络设计模型的优点 “核心层-汇聚层-访问层”层次化网络设计模型有如下优点： 高可扩展性 遵循层次化模型网络比扁平式网络更具有伸缩性和可管理性，因为各功能网络通过模块化实现，潜在问题更易于识别。 易于实施 每一层的功能性清晰划分，简化每一层的实现。 易于故障排除 每一层的功能经过良好定义，网络更为简单，有助于故障的隔离。模块化设计也有效限制故障影响范围。 易于规划和管理 层次化的功能划分，整个网络规划和管理更为简单。 3.标准化、规范化原则 3.1标准化原则 锐捷网络作为国内率先通过ISO9002/9001-2000版国际认证的IT厂商，始终将“品质第一、永续经营”作为贯彻整个生产经营过程的品质政策。 3.2规范化原则 按照安全模型的指导，从健康检查阶段、评估分析阶段、规划设计阶段、安全实施、运维管理、安全培训整个安全周期角度进行安全方案的设计和实施。 4. 校园网的设计原则 校园网是为学校师生提供教学、管理、科研和综合信息服务的宽带多媒体网络；是学校信息化教学环境的基础设施和实现各项管理的物质基础；是建立远程教育体系的基本保证；是提高全民素质的重要手段。采用成熟、先进的技术和设计思想，运用现有的系统集成的技术路线，强调系统先进、实用、开放、安全、使用方便和易于扩充等特点，突出系统功能的完善，实现办公现代化、信息资源化、传输网络化和决策科学化。其设计方案应注意以下原则： 实用性：校园网设计应能满足学校目前对网络应用的要求，充分实现学校内部管理、教学和科研的网络化、信息化的要求，使网络的整体性能尽快得到充分的发挥，并且便于掌握。满足管理职能的需求，为提高管理决策的及时性和准确性提供高质量的信息服务，增强对运行的协调和监控能力。 先进性：在系统的开发过程中，既能满足当前院校对网络的应用需求，又可以在将来需要扩展的时候，能方便地扩展，保护目前的所有投资；设计的配置可以灵活变通，以便适应客户的其他要求。符合计算机技术发展趋势，采用先进成熟的技术，坚持技术的开放性，易于技术更新。 可扩充性：方便系统和支撑平台的升级，满足用户对信息需求不断变化的需要，以及系统投资建设的长期性效益。 灵活性：通过采用结构化、模块化的设计形式，满足系统及用户各种不同的需求，适应不断变革中的要求。 安全性：应能在可靠性的前提下，抵挡来自内部和外部的攻击；采用的安全措施有效、可信，能够在多层次上、以多种方式实现安全的控制。 可靠性：校园网的系统及网络结构较为复杂，同时在部分子系统中存在较高的技术性，因此必须保证系统的稳定、可靠和安全运行，具有很高的MTBF(平均无故障工作时间)和极低的MTTR(平均无故障率)，提高容错设计，支持故障检测和恢复，可管理性强。 统一性：在系统的设计过程中，坚持“三统一”，即统一规划、统一标准、统一出口。 经济性：在充分满足以上要求的前提下，应充分考虑到学校的经济承受能力，尽可能地节约投资，花好每一分钱。 规范性：采用的技术标准要遵循国际标准和国家标准与规范，保证系统发展的延续和可靠性。 系统性：项目的开发必须按系统工程的管理方法，分阶段、有计划的统一组织实施。 综合性：以满足系统目标与功能为目标，保证总体方案的设计合理，满足用户的需求，同时便于系统使用过程中的维护，以及今后系统的二次开发与移植。 四、 解决方案 1.网络拓扑图 图 5 网络拓扑图 2. 方案说明 校园网网络系统从结构上分为核心层、汇聚层和接入层。核心层的功能主要是实现骨干网络之间的优化传输,骨干层设计任务的重点通常是冗余能力、可靠性和高速的传输。因学校存在大量的语音和视频传输。据此，考虑汇聚层对QoS有良好的支持并且能提供大的带宽。接入层设备是最终用户的最直接上联的设备，它应该具备即插即用特性以及易于维护的特点。根据学校建设要求与总体目标，骨干网采用三层结构，由核心层，汇聚层和接入层构成。在接入层面，通过定义相应的访问策略，实现访问控制，内外隔离和抭IP地址。 在网络结构上，采用成熟的千兆以太网技术(第三层交换)作为核心层，呈网状拓扑结构。以TCP/IP协议为主，并辅以IP/SPX. NETTEUI等其他流行通信协议坚持开放性和标准化，采用标准的通讯规程，以有利于不同厂家之间的互连，使不同系统间易于集成，兼顾其他标 准的网络体系结构，网络能实现协议之间无缝连接。而公用服务器与每一台核心层交换机都应该具备连接。在网络硬件上采用高性能、高可靠的设备，此产品是具有运营商级容错能力的高性能大型网络核心交换机，可实现冗余备份，从而提高核心层的可靠性。 整个网络通过汇聚层交换机RG-S6806E和核心交换机RG-S6810E之间的链路冗余备份和负载均衡提供安全可靠的网络构架（使用OSPF、ECMP、WCMP等技术），其安全保障技术提供一个全网概念的整体网络安全，而通过简单地增加万兆模块可以平滑升级到万兆骨干的校园网。 如拓扑图所示，作为学生宿舍网的核心，要求设备能够大容量、稳定可靠的高速路由转发，能够接入大量的汇聚节点并满足今后扩充的需要。同时，应完备的QOS保证机制，完备的业务控制、用户管理机制。同时，还应该考虑到与一期工程的网络设备之间的良好的兼容性、互通性。因此，在本方案的在核心层，部署了锐捷网络的RG-S6810E模块化骨干路由交换机两台，该交换机具有高达1.6T（可扩展3.2T）的背板，L2/L3层具有572Mpps的转发率，同时还可以配置冗余电源和管理引擎模块，可以实现对全网的数据进行高速无阻塞的交换，负责路由管理、网络管理、网络服务、核心数据处理等。其硬件策略路由功能为学校的出口规则提供了灵活的设置，此外核心交换机硬件的IPv6功能为学校接入CERNET2提供了无缝连接。 为了提高网络上连带宽，业界提出了端口聚合(802.1ad)的概念，此概念也广泛应用于校园网的建设中。 锐捷网络交换机可将多个端口聚合，每条干路支持全双工模式。端口聚合可以在单台交换机中进行配置，支持聚合通道内部的负载均衡。从核心层到汇聚层使用多条多模光纤连接到汇聚层交换机，并实现端口聚合。 汇聚层起着承上启下的作用，负责对各种接入的汇聚，并可在该层实现对于用户的访问控制，以及对用户的网络管理。因此，汇聚层应考虑三层智能交换机。在本方案中，共部署三台锐捷网络自主研发的RG-S6806E模块化骨干路由交换机。在汇聚层使用三层交换机的目的是为了减轻核心层的负担。 接入层应该能够实现对用户的访问控制，并具有较强的安全和QOS控制功能，支持802.1x的认证计费，支持千兆上联，支持SMNP的网管。同时，为满足学生宿舍网的高端口密度接入的需求，接入层应考虑二层智能型可堆叠交换机。因此，在接入层部署了锐捷网络的STAR-S2126G/STAR-S2150G智能型可堆叠交换机。 同时为了保证宿舍网内部网的安全,在内网和外网之间增加硬件防火墙，接在INTERNET/CERNET出口的位置,根据安全需求可将校园网分为内部网、外部网与DMZ区等，以保护校园网的安全，防止恶意用户的攻击。为了统一网络管理和监控，在网络中心配置StarView管理平台可以对设备进行集中的管理，包括网络拓扑发现、配置管理、性能管理、事件管理，实现全网设备的管理。 在网络中心两台核心交换机各通过两条千兆链路连接校园图书馆子网，两台核心交换机间业务量增大时，也可考虑通过上行双链路Trunk来连接。其中公寓干网以千兆链路下联至公寓楼宇交换机STAR-S2126G/STAR-S2150G；同时网络中心通过千兆连接专项课题研究楼子网；在网络中心核心交换机通过千兆链路连接行政/教学楼子网交换机，以千兆链路下联至楼宇交换机STAR-S2126G/STAR-S2150G；计算中心子网及应用服务器群另在网络中心通过千兆链路下行连接。实现百兆交换到桌面。 2.1 用户上网方案 2.1.1 访问校园网 用户在连接到网络中时，首先获得是校园网的IP地址，此时用户只能访问校园网内部的资源，并且对用户不计费。 在该方案中，S6810E和S6806E起到三层交换机的功能，校园网用户之间的互访都必须通过S6810E和S6806E进行。 2.1.2 CERNet 用户需要访问CERNet时，使用CERNet的域名,获得CERNet的地址后，就可以访问 2.1.3 INTERNET 用户需要访问INTERNET时，使用INTERNET的域名，获得INTERNET的地址后就可以访问。 2.2 IP地址规划和路由设计 2.2.1 IP地址规划 IP地址规划是整个网络设计中的重要组成部分，地址规划的科学性和合理性将直接反应网络拓扑的设计思想，对网络的稳定起到至关重要的影响。好的地址规划同科学的分层网络拓扑设计相辅相承，共同形成整体的网络设计解决方案。 合理的网段划分结合灵活的VLAN规划，可以有效地降低网络风暴的产生，保证整个网络的稳定，同时也起到一定的网络安全功能。 IP地址规划目标 建立高效的网络路由； 有效利用有限的IP地址资源； 支持网络的扩展； 支持网络技术的演变和发展。 IP地址规划原则 简单性：地址的分配应该简单，避免在主干上采用复杂的掩码方式； 连续性：为同一个网络区域分配连续的网络地址，便于采用路由收敛(Summarization)及CIDR(Classless Inter-Domain Routing)技术缩减路由表的表项，提高路由器的处理效率； 可扩充性：为一个网络区域分配的网络地址应该具有一定的容量，便于主机数量增加时仍然能够保持地址的连续性； 灵活性：地址分配不应该基于某个网络路由策略的优化方案，应该便于多数路由策略在该地址分配方案上实现优化； 可管理性：地址的分配应该有层次，某个局部的变动不要影响上层、全局。 安全性：网络内应按工作内容划分成不同网段即子网以便进行管理。 校园网地址规划方案 校园网IP地址分配总则 校园网IP地址分为三大块： 校园网内部的私有IP地址，采用RFC中规定的地址段，不能访问Internet和Cernet； Cernet分配的多个C类公网IP地址，作为和国际互联网互连的地址，域名就解析在这片地址上，主要供网络中心和图书馆、部分实验室专用； 运营商分配的公网IP地址，用于访问Internet。 关键服务器拥有两个公网IP，分别跨接在Cernet和Internet上。 校园网内部私网IP地址的分配 内部地址的分配原则是按建筑物进行的，视用户的数量，1/4、1/2、整个C的划分。为了安全考虑对所有的都采用静态分配IP地址，为防止地址盗用，采用IP地址、MAC地址与端口绑定。 IP地址的分配 用户的计算机在连接到校园网上时，首先获得一个校园网内部的IP地址，此时该计算机只能访问校园网内部。 用户需要访问Cernet和Internet，要使用帐号登陆，认证通过后才能访问。 2.2.2路由设计 校园网路由设计 不使用默认路由，使用策略路由，防止从Internet访问校园网。 Internet路由设计 采用静态默认路由协议访问Internet 为了实现路由的备份，配置到Internet的两条默认路由，两条路由的优先级可以相同，可以不同。 如果相同，则两条线路采取负载分担方式。 如果不同，则是主备方式，其中优先级高的称为主路由，优先级低的为备份路由。这样，正常情况下，路由器采用主路由发送数据。当线路发生故障时，该路由自动隐藏，路由器会选择余下的优先级最高的备份路由作为数据发送的途径。这样，也就实现了主路由到备份路由的切换。当主路由恢复正常时，路由器恢复相应的路由，并重新选择路由。由于该路由的优先级最高，路由器选择主路由来发送数据。 采用源地址路由，让Internet地址访问Internet； 采用ACL，防止访问Cernet的流量通过Internet； 采用ACL，防止来自校园网的Internet地址。 2.3 安全与流量控制 2.3.1网络安全控制 对端口ARP检查防止ARP攻击； 对端口安全：MAC动态地址锁，MAC地址静态绑定； 交换设备 BPDU Guard功能，过滤非法BPDU报文，防止STP攻击交换机； 端口安全：端口静态绑定，自动绑定 IP和MAC 地址防止DOS攻击； 智能安全到边缘：多种ACL，满足不同网络应用，过滤病毒 SSH密文传输，限制管理IP等措施保证设备管理可靠； 对网络病毒的防范：采用设置ACL，对病毒进行过滤； 我们使用的汇聚、核心交换机都支持SPOH，通过端口独立的FFP进行ACL处理，网络设备性能不受设置 ACL 数目影响；2.3.2 VLAN需求 默认时，交换机分隔冲突域；路由器分隔广播域。第2层交换式网络的最大好处是，它为插入到交换机每个端口的每台设备创建了各自的冲突域。但每一个新的改进通常都会引起新的问题用户和设备的数量越大，每台交换机必须处理的广播和数据包就越多。 安全性也是一个问题，因为在典型的第2层交换式互联网络的内部，默认时所有用户都可以看见所有的设备。你不能让设备停止广播，也不能让用户不响应广播。连接到物理网络的任何人都可以访问位于物理LAN上的网络资源，用户只需将其工作站插入到现有的集线器中，就可以加入某个工作组。安全性选项只能限于在服务器和其他设备上设置口令。 通过创建虚拟局域网（VLAN），就可以在一个纯交换式的互联网络中，分隔广播域。VLAN是两个部分的逻辑组合：一是网络用户；二是在管理上连接到交换机所定义端口的资源。 如果创建了VLAN，情况就可以大大改善。在虚拟创建局域网时，可以将交换机上的不同端口分派到不同的子网中，这样就可以在第二层交换式互联网络中创建一些小的广播域。可以象对待单独的子网和广播域一样来对待VLAN，这意味着网络上的广播域只在同一个VLAN内部的逻辑组的端口之间进行转发。 用VLAN来简化网络管理的方式有多种： 通过将某个端口配置到合适的VLAN中，就可以实现网络的添加、移动和改变。 将对安全性要求高的一组用户放入VLAN中，这样，VALN外部的用户就无法与他们通信。 作为功能上的逻辑用户组，可以认为VLAN独立于它们的物理位置或地理位置。 VLAN可以增强网络安全性。 VLAN增加了广播域的数量，同时减少了广播域的范围。 使用VLAN具有以下优点： a.控制广播风暴 一个VLAN就是一个逻辑广播域，通过对VLAN的创建，隔离了广播，缩小了广播范围，可以控制广播风暴的产生。 b.提高网络整体安全性 通过路由访问列表和MAC地址分配等VLAN划分原则，可以控制用户访问权限和逻辑网段大小，将不同用户群划分在不同VLAN，从而提高交换式网络的整体性能和安全性。c.网络管理简单、直观 对于交换式以太网，如果对某些用户重新进行网段分配，需要网络管理员对网络系统的物理结构重新进行调整，甚至需要追加网络设备，增大网络管理的工作量。而对于采用VLAN技术的网络来说，一个VLAN可以根据部门职能、对象组或者应用将不同地理位置的网络用户划分为一个逻辑网段。在不改动网络物理连接的情况下可以任意地将工作站在工作组或子网之间移动。利用虚拟网络技术，大大减轻了网络管理和维护工作的负担，降低了网络维护费用。在一个交换网络中，VLAN提供了网段和机构的弹性组合机制。 2.3.3 VLAN划分设计 VLAN概述： VLAN（Virtual Local Area Network）又称虚拟局域网，是指在交换局域网的基础上，采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。一个VLAN组成一个逻辑子网，即一个逻辑广播域，它可以覆盖多个网络设备，允许处于不同地理位置的网络用户加入到一个逻辑子网中。 组建VLAN的条件 VLAN是建立在物理网络基础上的一种逻辑子网，因此建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时，需要路由的支持，这时就需要增加路由设备要实现路由功能，既可采用路由器，也可采用三层交换机来完成。 划分VLAN的基本策略 从技术角度讲，VLAN的划分可依据不同原则，一般有以下三种划分方法： a.基于端口的VLAN划分 这种划分是把一个或多个交换机上的几个端口划分一个逻辑组，这是最简单、最有效的划分方法。该方法只需网络管理员对网络设备的交换端口进行重新分配即可，不用考虑该端口所连接的设备。 b.基于MAC地址的VLAN划分 MAC地址其实就是指网卡的标识符，每一块网卡的MAC地址都是惟一且固化在网卡上的。MAC地址由12位16进制数表示，前8位为厂商标识，后4位为网卡标识。网络管理员可按MAC地址把一些站点划分为一个逻辑子网。 c.基于路由的VLAN划分 路由协议工作在网络层，相应的工作设备有路由器和路由交换机（即三层交换机）。该方式允许一个VLAN跨越多个交换机，或一个端口位于多个VLAN中。 就目前来说，对于VLAN的划分主要采取上述第1、3种方式，第2种方式为辅助性的方案。 具体方案一：（见图6） 1将一个班同学的寝室划为同一个VLAN，再将一栋宿舍楼划为一个大VLAN。 理由：高校的学生通过网络交换的信息量日益增大，特别是一个班的同学，住在一个寝室的同学不一定就是一个班的，将一个班的同学划为同一个VLAN便于信息的传递。 2将每个老师的寝室划为一个VLAN。 理由：每个老师的计算机里可能有一些重要的科研资料，从安全性考虑，所以不能将所有老师的寝室划为同一个网。并且学生宿舍和教师宿舍不能互相访问。 3将教学楼的所有教室划为一个VLAN。 理由：上课的教室不固定，每个教室需要共享一些信息。 4将实验楼划为一个大VLAN，再将每个实验室划为一个小VLAN。 理由：方便同学和老师做一些教学实验，实验室会进行一些专项课题研究，一个实验室同一个VLAN安全性更高。 5将办公楼划为一个大VLAN，再将每个部门划为一个小VLAN。 理由：方便每个部门管理，鉴于每个的不同性质，更要提高安全性。 6划分方法采用基于端口的划分。 理由：高校学生的流动性大，例如换寝室，毕业等，而导致的学生的人数和班级的变动。基于端口的划分，相对来说容易设置和监控，只需要将端口配置的VLAN重新分配。 备注：将每个小VLAN里的其中一台交换机设为VTP SERVER，其余的为VTP CLIENT。工作在VTP服务器模式下的服务器将使用VTP共享VALN信息。在VTP SERVER上进行VLAN的创建、添加、删除或修改操作。每个大VLAN的划分由上一层交换机完成。 简易拓扑图： 图 6 VLAN拓扑图 具体方案二：（见图7） 1将一个寝室划为同一个VLAN，再将一栋宿舍楼划为一个大VLAN。 理由：一个寝室的同学公用一个端口，可以节约成本。一个寝室的同学在一个网内可以共享一些资源，更方便的进行信息交流，安全性也更高。 2将每个老师的寝室划为一个VLAN。 理由：每个老师的计算机里可能有一些重要的科研资料，从安全性考虑，所以不能将所有老师的寝室划为同一个网。并且学生宿舍和教师宿舍不能互相访问。 3将教学楼的所有教室划为一个VLAN。 理由：上课的教室不固定，每个教室需要共享一些信息。 4将实验楼划为一个大VLAN，再将每个实验室划为一个小VLAN。 理由：方便同学和老师做一些教学实验，实验室会进行一些专项课题研究，一个实验室同一个VLAN安全性更高。 5将办公楼划为一个大VLAN，再将每个部门划为一个小VLAN。 理由：方便每个部门管理，鉴于每个的不同性质，更要提高安全性。 6划分方法采用基于端口的划分。 理由：高校学生的流动性大，例如换寝室，毕业等，而导致的学生的人数和班级的变动。基于端口的划分，相对来说容易设置和监控，只需要将端口配置的VLAN重新分配。 备注：将每个小VLAN里的其中一台交换机设为VTP SERVER，其余的为VTP CLIENT。工作在VTP服务器模式下的服务器将使用VTP共享VALN信息。在VTP SERVER上进行VLAN的创建、添加、删除或修改操作。每个大VLAN的划分由上一层交换机完成。 简易拓扑图： 图 7 VLAN拓扑图 2.3.4流量监控与控制： 校园网作为学校师生及管理人员所依托的重要资源，也是学校办学的一种重要基础设施，为学校师生及科研人员提供网络下载、视频点播、网络聊天、专项课题研究、网络化教学、办公自动化、计算机管理、资源共享及信息交流等全方位的服务。，学校要求网络具有高性能、高可用性和高安全性。学校规模在不断扩大中，用户数在持续增加，要求网络具有很好的扩展性。 现在的应用流量主要由三种类型的数据构成： 各种对传送时间非常敏感的数据，其中包括各类话音、视频和音频流量，例如跨越Internet进行传输的音频流量以及通过局域网基础网络实现互联的电话系统等 各种关键性的业务数据，其中包括各种数据库事物处理流量以及在线交易过程数据等 各种突发性的数据流量，包括电子邮件、文件传输协议（FTP）以及Web浏览等 当以上这些不同类型的流量以同样的身份争用网络中有限的带宽的时候，网络将会很快地过载，进而导致网络对用户请求的响应时间变得非常漫长以及应用请求的超时，并且使用户变得焦躁烦恼。随着学校逐渐在网络之上加载越来越多类型的不同应用，这种因应用争用带宽而引起的瓶颈现象将会变得越来越严重。网络管理员需要的是能够提供更高带宽以及对应用数据进行更好地控制的解决方案。 解决方案： 凭借着其增加了全新的智能与控制功能的锐捷68系列交换机产品，赋予了校园网利用网络控制网络中应用的能力，并消除了应用控制网络的现象。通过为校园用户构建起一个具备服务质量（QoS，Quality of Services）特性的网络，网络管理员将有能力使其网络变得更加智能。通过对应用流量进行分类、标记以及为其分配不同的流量优先级别，一个具备QoS属性的网络系统将会给网络管理员带来控制其数据流量的能力。锐捷公司功能丰富、性能极高的锐捷68系列交换机能够在数据流经交换机各端口时保持其优先级别属性，从而实现了优异的QoS特性。作为锐捷公司的专业网络管理工具，锐捷68系列为用户实现了易于使用的软件界面，从而简化了为流量数据分配优先级别的过程，赋予了管理员对于应用流量的绝对控制能力。 服务质量（QoS）与锐捷68系列交换机 - 利用内置于锐捷68系列交换机中的服务质量特性，用户能够对通过网络进行传输的应用流量优先级进行控制，消除网络中的瓶颈现象。锐捷公司的锐捷 锐捷68系列交换机能够根据加载于其上的流量优先级别辨识出不同类型的应用流量，进而实现对关键性数据的更快转发。 - 为了进一步提高数据包的传递效率，锐捷基于已有交换机的第二、第三和第四层技术，赋予了产品辨识、标记数据并为不同的数据流量赋予